Pontos de extremidade privados e DNS para redes virtuais em ambientes do Azure Container Apps

O ponto de extremidade privado do Azure permite que clientes localizados em sua rede privada se conectem com segurança ao seu ambiente de Aplicativos de Contêiner do Azure por meio do Link Privado do Azure. Uma conexão de link privado elimina a exposição à internet pública. Endpoints privados usam um endereço IP privado no espaço de endereçamento da rede virtual do Azure e são normalmente configurados com uma zona DNS privada.

Há suporte para pontos de extremidade privados para planos de consumo e dedicados em ambientes de perfil de carga de trabalho.

Faturamento

Pontos de extremidade privados incorrem em custos adicionais. Ao habilitar um ponto de extremidade privado nos Aplicativos de Contêiner do Azure, você será cobrado pelo seguinte:

1. Link Privado do Azure – Cobrança para o próprio recurso de Link Privado do Azure.
2. Aplicativos de Contêiner do Azure – cobrança para a infraestrutura de ponto de extremidade privado dedicada para Aplicativos de Contêiner do Azure, que aparece como um encargo separado de "Gerenciamento de Plano Dedicado" e se aplica aos planos de Consumo e Dedicado.

Tutoriais

• Para saber mais sobre como configurar pontos de extremidade privados nos Aplicativos de Contêiner do Azure, confira o tutorial Usar um ponto de extremidade privado com um ambiente de Aplicativos de Contêiner do Azure.
• A conectividade de link privado com Azure Front Door têm suporte para os Aplicativos de Contêiner do Azure. Consulte Criar um link privado com Azure Front Door para obter mais informações.

Considerações

• Para usar um ponto de extremidade privado, você deve desabilitar o acesso à rede pública. Por padrão, o acesso à rede pública está habilitado, o que significa que os pontos de extremidade privados estão desabilitados.
• Para usar um ponto de extremidade privado com um domínio personalizado e um domínio Apex como o tipo de registro de nome do host, você precisa configurar uma zona DNS privada com o mesmo nome do seu DNS público. No conjunto de registros, configure o endereço IP privado do seu ponto de extremidade privado em vez do endereço IP do ambiente do aplicativo de contêiner. Ao configurar seu domínio personalizado com CNAME, a configuração permanece inalterada. Para obter mais informações, consulte Configurar domínio personalizado com certificado existente.
• A VNet do ponto de extremidade privado pode ser separada da VNet integrada ao seu aplicativo de contêiner.
• Você pode adicionar um ponto de extremidade privado tanto a ambientes de perfil de carga de trabalho novos quanto existentes.

Para se conectar aos seus aplicativos de contêiner por meio de um ponto de extremidade privado, você precisa configurar uma zona DNS privada.

Você também pode usar pontos de extremidade privados com uma conexão privada com o Azure Front Door no lugar do Azure Application Gateway.

DNS

A configuração do DNS na rede virtual do ambiente de Aplicativos de Contêiner do Azure é importante pelos seguintes motivos:

• O DNS permite que seus aplicativos de contêiner resolvam nomes de domínio para endereços IP. Isso permite que eles descubram e se comuniquem com serviços dentro e fora da rede virtual. Isso inclui serviços como Gateway de Aplicação do Azure, Grupos de Segurança de Rede e endpoints privados.

• As configurações de DNS personalizadas aprimoram a segurança, permitindo que você controle e monitore as consultas DNS feitas por seus aplicativos de contêiner. Isso ajuda a identificar e reduzir possíveis ameaças à segurança, garantindo que seus aplicativos de contêiner se comuniquem apenas com domínios confiáveis.

DNS Personalizado

Se a VNet usar um servidor DNS personalizado em vez do servidor DNS padrão fornecido pelo Azure, configure-o para encaminhar as consultas DNS não resolvidas para 168.63.129.16. Os resolvedores recursivos do Azure usam esse endereço IP para resolver as solicitações. Ao configurar o NSG (grupo de segurança de rede) ou o firewall, não bloqueie o 168.63.129.16 endereço, caso contrário, seu ambiente de Aplicativos de Contêiner não funcionará corretamente.

Entrada na área da VNet

Se você planeja usar o ingress com escopo VNet em um ambiente interno, configure seus domínios de uma das seguintes maneiras:

1. Domínios não personalizados: se você não pretende usar um domínio personalizado, crie uma zona DNS privada que resolva o domínio padrão do ambiente dos Aplicativos de Contêiner para o endereço IP estático do ambiente dos Aplicativos de Contêiner. Use o DNS privado do Azure ou um servidor DNS próprio. Se você usar o DNS Privado do Azure, crie uma Zona DNS privada nomeada como o domínio padrão do ambiente do Aplicativo de Contêiner (<UNIQUE_IDENTIFIER>.<REGION_NAME>.azurecontainerapps.io), com um registro A. O registro A contém o nome *<DNS Suffix> e o endereço IP estático do ambiente dos Aplicativos de Contêiner. Para obter mais informações, consulte Criar e configurar uma zona DNS privada do Azure.

2. Domínios personalizados: se você pretende usar domínios personalizados e está usando um ambiente externo dos Aplicativos de Contêiner, use um domínio resolvível publicamente para adicionar um domínio personalizado e um certificado ao aplicativo contêiner. Se você estiver usando um ambiente interno de Aplicativos de Contêiner, não haverá validação para a associação DNS, pois o cluster só estará disponível na rede virtual. Além disso, crie uma zona DNS privada que resolva o domínio apex para o endereço IP estático do ambiente dos Aplicativos de Contêiner. Use o DNS privado do Azure ou um servidor DNS próprio. Se você usar o DNS privado do Azure, crie uma zona DNS privada nomeada como o domínio apex, com um registro A que aponte para o endereço IP estático do ambiente dos Aplicativos de Contêiner.

O endereço IP estático do ambiente de Aplicativos de Contêiner está disponível no portal do Azure em Sufixo DNS personalizado da página do aplicativo de contêiner ou usando o comando az containerapp env list da CLI do Azure.

Próximas etapas